Auteur archieven: MvE

Privacyrecht in Nederland op zoek naar meer houvast

Voor het tijdschrift P&I schreven Thijs Drouen en Marlies van Eck een artikel over de recente evaluatie van de UAVG. Met co-auteurs Heinrich Winter en Chantal Ridderbos-Hovingh van Pro Facto concluderen ze dat de UAVG nauwelijks van toegevoegde waarde is voor het gegevensbeschermingsrecht in Nederland. Over de Functionaris Gegevensbescherming schrijven zij dat het opvallende bevinding is dat minder dan de helft van de respondenten in het onderzoek zich altijd vrij voelt om de AP te benaderen en dat een kwart zich nooit of soms vrij voelt. Ook uit de interviews blijkt dat FG’s worden gehinderd door de vrees dat contact met de AP kan leiden tot interventies of versterkte controle van de organisatie waarvoor de FG werkzaam is. 86% van de respondenten gaf aan altijd of meestal betrokken te worden bij gesprekken tussen de organisatie en de AP.

Het artikel vindt u hier.

BNR Eyeopeners: dit is de oplossing voor het delen van gevoelige data

BNR Eyeopeners besteedt elke week aandacht aan een onderwerp dat te maken heeft met technologie en innovatie. In de aflevering van deze week staat multi party computation, kortweg MPC centraal. Deze technologie maakt het mogelijk om gegevens in de bron met een hoogwaardige, state of the art versleuteling te verwerken. Dat maakt het mogelijk om ook gevoelige persoonsgegevens volgens de principes van privacy by design te verwerken.

In deze aflevering gaat onze collega Mariette Lokin  in op de juridische aspecten van toepassing van deze technologie. Thomas Attema van TNO en Roderick Rodenburg van Roseman Labs gaan in op de technische merites van MPC.

Je kan de podcast beluisteren via: https://www.bnr.nl/podcast/eyeopeners/10493216/dit-is-de-oplossing-voor-het-delen-van-gevoelige-data.

 

Sociaal medium BlueSky: centraal of decentraal organiseren?

Vorige week was onze collega Walter van Holst te gast bij het programma BNR Digitaal. Het gesprek met schaatslegende Ben van de Burg ging over het door Twitter-oprichter Jack Dorsey aangekondigde decentraal ingerichte sociaal medium BlueSky. Aan de orde kwam of het eigenlijk uitmaakt of een sociaal medium centraal of decentraal georganiseerd is.

De uitzending is terug te luisteren (in het tweede halfuur) via: https://www.bnr.nl/podcast/digitaal/10492524/microsoft-vs-de-waakhonden-bluesky-is-het-nieuwe-oude-twitter-en-tech-op-dutch-design-week .

Foto: Yujeong Huh via Unsplash

Met MPC: een data-archipel voor veilig gebruik van (medische) persoonsgegevens

Begin september deed Mariette Lokin van Hooghiemstra en Partners mee aan de rondetafelbijeenkomst over Multi Party Computation. Toen besprak ze enkele voorbeelden hoe deze techniek kan worden gebruikt om op een veilige manier (medische) persoonsgegevens te verwerken. Mariette heeft voor iBestuur een blog geschreven over deze state-of-the-art technologie.

Met Multi Party Computation worden gegevens versleuteld bij de bron en opgeknipt in ‘secret shares’. Met toestemming van de verwerkingsverantwoordelijken, die eigen sleutels hebben, kunnen de gegevens gebruikt worden om mee te rekenen. Dat is ook het enige: degene die de berekeningen uitvoert kan de gegevens niet inzien of bereiken. De informatie blijft dus geheim. Deze betrouwbare en veilige methode geeft een goede invulling aan privacy by design. Mariette ziet interessante mogelijkheden voor MPC, zoals wanneer er gewerkt wordt met gevoelige gegevens of om ondermijnende criminaliteit te bestrijden.

MPC is geen panacee. Aan de vereisten die de AVG stelt zal altijd voldaan moeten worden, zoals dat er een grondslag voor het verwerken moet zijn. De techniek is niet het antwoord op alles, maar biedt wel mooie opties om op een veilige manier met gegevens om te gaan.

De hele blogpost is hier te lezen.

Foto via Unsplash.

European Health Data Space: goede intenties, maar…

Een virtuele ruimte waarin gezondheidsgegevens veilig, zorgvuldig en met de juiste inhoud elektronisch uitgewisseld kunnen worden, onder controle van de patiënt met een nieuw recht op volledige dataportabiliteit en met mogelijkheden tot hergebruik. Het idee van de Europese Commissie klinkt veelbelovend. Maar de manier waarop zij dit wil realiseren brengt een afbreukrisico met zich mee. De voorgestelde concept-Europese verordening voor een European Health Data Space laat namelijk qua vorm en inhoud nog wel wat te wensen over, constateert Walter Van Holst in zijn bijdrage voor iBestuur. Lees de bijdrage via deze link.

Foto: Chris Levrani via Unsplash

Leergang AI, Recht en Ethiek

Na twee succesvolle edities van de online leergang Artificial Intelligence voor juristen blikken we in dit artikel terug en kijken we vooruit, want de derde editie van de leergang AI, Recht en Ethiek is alweer ingepland.

Leergang Artificial Intelligence, Recht en Ethiek (voorheen: AI voor juristen)

Marlies van Eck, een van de hoofddocenten van de leergang, nam het initiatief om de leergang op te zetten. Samen met Ronald van den Hoogen ontwikkelde zij het programma van de leergang. Verschillende onderwerpen met betrekking tot kunstmatige intelligentie en algoritmes worden in de basiscursus op een begrijpelijke manier uitgelegd aan de cursisten. Ook komt recente wet- en regelgeving aan de orde  en wordt gekeken naar de praktische toepassing van Artificial Intelligence. Bijzonder aan de derde editie van de leergang is dat de ethische kant van AI uitvoeriger aan bod komt. Docenten die aan het woord komen, zijn zowel onderzoekers als specialisten die in de dagelijkse praktijk met AI of met juridische en ethische vraagstukken over AI bezig zijn. Na de basiscursus volgen de specialisatiemodules. Deelnemers kiezen vooraf aan welke specialisatiemodule(s) zij willen deelnemen. In deze modules wordt verder de diepte opgezocht.

Derde editie

Wat opvalt aan de derde editie, is dat de naam gewijzigd is. De leergang heette eerst AI voor juristen en nu AI, Recht en Ethiek.

Ronald: “Die naamswijziging had twee redenen. Ten eerste: het was nooit onze bedoeling de leergang exclusief voor juristen te maken. Voor veel mensen was dat wel duidelijk. We hadden veel deelnemers zonder juridische achtergrond. Toch leek de naam uit te drukken dat de leergang alleen ‘voor juristen’ was. Het tweede punt is dat  in de eerste twee edities bij de onderlinge discussies ook veel ethische vraagstukken aan de orde kwamen. Dat is ook logisch, techniek, recht en ethiek kunnen niet zonder elkaar. De belangstelling voor ethiek in relatie tot de inzet van algoritmes is groot. Om die reden hebben we nu gekozen voor AI, Recht en Ethiek. Daarom hebben we de opzet van de leergang aangepast. Het is meer dan alleen een naamswijziging.”

Marlies: “Het past bij het karakter van deze leergang om direct in te haken op nieuwe ontwikkelingen. Het nog wat nadrukkelijker belichten van de ethische kant van AI hoort daar bij. We hebben daarom nu drie basiscursussen, een over AI, een over Recht en een over Ethiek. Ethiek krijgt dus afzonderlijk aandacht. Ook in de vijf specialisatiemodules: AI en mobiliteit, AI, banken & verzekeringen, AI & overheid, AI, politie & veiligheid. De laatste specialisatie, AI en ‘legal labs’ is voor ons spannend, omdat we daar praktische voorbeelden van de inzet van AI willen laten zien, zodat de deelnemers daarover met de betrokkenen en met experts over in gesprek kunnen gaan. We hopen dat daar veel belangstelling voor is.”

Een kort maar krachtige leergang

Na afloop van de leergang bent u écht bij de tijd. “Het is een kort maar krachtige leergang en na afloop begrijpt u wat AI is, wat mogelijke toepassingen zijn voor uw werk en uw cliënten en u leert van experts uit de wetenschap en de praktijk hoe zij zijn omgegaan met vraagstukken op het terrein van AI, recht en ethiek”, aldus Marlies.

Uit de evaluatie van een oud deelnemer: “De leergang is een welkome aanvulling op mijn overwegend technische kennis van AI. Door de inzichten die worden gegeven in de juridische denkwereld kan ik mij nog beter verplaatsen in verschillende disciplines. Ik spreek ‘de taal’ beter, waardoor ik met collega’s sneller tot de kern van ethische of wetgevingsvraagstukken rond AI kan komen en ik de juiste vragen kan stellen aan specialisten en aan bestuurders. De variëteit en het hoge niveau van de sprekers dragen bij aan een boeiend en afwisselend programma. Het gebruik van sprekende praktijkvoorbeelden om juridische en ethische kwesties inzichtelijk te maken zorgt ervoor dat de stof goed is te onthouden en te reproduceren in gesprekken en presentaties. ”

Topdocenten en 50-50 verdeling

“Wat deze leergang uniek maakt zijn toch echt de docenten”, zegt Marlies. “We hebben echt de top of the bill van Nederland. Zoveel verschillende vakgebieden en mensen die bij elkaar worden gebracht is spannend maar als het lukt, is het geweldig.” Extra feestelijk is dat het doel van de hoofddocenten, namelijk een gelijke verdeling in mannelijke en vrouwelijke docenten, deze editie is behaald.

Combinatie van online en op locatie

Nieuw is ook dat we dit jaar -eindelijk- ook in Leiden in de prachtige Sterrewacht les krijgen. Maar dat is alleen voor de specialisaties. Daarvoor zijn de drie middagen online. Verreweg de meeste deelnemers volgen deze sessies online. Directeur van JPAO, Marco van de Ree, is vanaf het begin intensief betrokken bij deze multidisciplinaire leergang. “We boden deelnemers de mogelijkheid om live deel te nemen of de opname van de sessie na afloop te bekijken” vertelt Marco. “De mogelijkheid om de sessie naderhand te bekijken, werd door deelnemers ontzettend gewaardeerd. Niet iedereen kon vanwege werk- of privé verplichtingen live deelnemen of wilde naderhand nog een stukje van de presentatie terugkijken. Dat is uiteraard mogelijk. De opnames werden na afloop naar de deelnemers toegestuurd en deelnemers maakte hier dankbaar gebruik van”, aldus Marco.

Inschrijven leergang Artificial Intelligence voor juristen

Bent u enthousiast geworden en wilt u zich gaan verdiepen in de juridische en ethische aspecten van AI en algoritmes? Inschrijven voor de leergang Artificial Intelligence, Recht en Ethiek 2022 is nu mogelijk! Link: https://www.paoleiden.nl/cursusaanbod/2022/leergang-artificial-intelligence-recht-en-ethiek/.

Om de kwaliteit van ons onderwijs en de streaming van de digitale ontmoetingsruimte te waarborgen, hanteren wij een maximum aantal cursisten. VOL = VOL!

De eerste bijeenkomst vindt online plaats op 3 november 2022 van 13.00 – 17.30 uur.

Grote belangstelling rondetafelbijeenkomst over Multi Party Computation

Op donderdag 8 september jl. waren er maar liefst 120 aanwezigen bij de rondetafelbijeenkomst over het onderwerp ‘de juridische implicaties van nieuwe privacy technologie’. Het evenement werd georganiseerd door Hooghiemstra & Partners in samenwerking met Roseman Labs.

De belangstelling voor privacy enhancing technologies (PET’s) bleek veel groter dan verwacht. Van overheidsinstellingen tot ziekenhuizen: deelnemers met breed uiteenlopende achtergronden discussieerden over de mogelijkheden van multi-party-computation onder leiding van co-host Theo Hooghiemstra. Niet alleen theoretische, maar ook praktische en ethische kwesties passeerden de revue.

Terwijl Roderick Rodenburg, CEO van Roseman Labs, de technische kant van het verhaal belichtte, boog Mariette Lokin van H+P zich over het juridische aspect. Panelleden Robert Verheij, Juliette Roelofsen en Andre Walter deelden hun ervaring vanuit de praktijk. Dit leidde tot interessante vragen vanuit het publiek en nieuwe inzichten over MPC.

Mariette ging dieper in op enkele vraagstukken. Wat zijn de juridische gevolgen van het gebruik van MPC en het verwerken van persoonsgegevens? En hoe kunnen juristen meedenken over samenwerkingsverbanden waarbij gevoelige informatie wordt gedeeld en waarbij dit veilig moet zijn? Zij ging ook in op het punt dat ook bij inzet van MPC de AVG nog steeds van toepassing is. Mariette besprak verschillende praktische voorbeelden waarbij deze state-of-the-art technologie echter goed van pas komen om persoonsgegevens betrouwbaar en vertrouwelijk te verwerken.

De kracht van MPC ligt volgens haar in de manier waarop gegevensbestanden in stukken wordt verdeeld en geavanceerd worden versleuteld. Mariette is positief: het ‘Virtual Data Lake’, zoals Roseman Labs het noemt, is eerder een ‘Virtual Data Archipelago’. Het creëert namelijk gegevenseilanden en slaat alleen veilig bruggen wanneer dit echt nodig is.

Een zeer geslaagde middag! Wij danken iedereen voor hun bijdrage en aanwezigheid.

voorpagina rapport Bescherming gegeven?

Wetsevaluatie UAVG aangeboden aan Tweede Kamer

De AVG bestaat uit open normen die zich in de praktijk niet altijd makkelijk laten toepassen. Invulling daarvan door de Uitvoeringswet AVG is niet goed uit de verf gekomen. Dit komt door de ‘beleidsneutrale’ opzet van de Uitvoeringswet AVG en het gebrek aan (latere) concretisering van die open normen. De UAVG heeft daarmee niet veel toegevoegde waarde ten opzichte van de AVG. Voor de uitvoeringspraktijk draagt de UAVG niet bij tot meer duidelijkheid. Dit is de hoofdconclusie van de wetsevaluatie die Pro Facto en Hooghiemstra & Partners hebben gedaan in opdracht van het WODC. Het onderzoek naar uitvoerbaarheid van de UAVG genaamd ‘Bescherming gegeven?is op 6 september aangeboden aan de Tweede Kamer. Het rapport vindt u hier: https://hooghiemstra-en-partners.nl/wp-content/uploads/2022/09/3249-Eindrapport-Bescherming-gegeven-Evaluatie-UAVG-meldplicht-datalekken-en-boetebevoegdheid.pdf.

De onderzoekers raden aan de wet te verbeteren. Dit kan door de UAVG en de sectorale wetgeving te benutten om tot concretisering te komen. Hierbij kan inspiratie worden opgedaan in andere landen waar de AVG ook geldt.

Ook gedragscodes zouden een veel effectievere rol kunnen spelen bij het toepassen van algemene beginselen in een specifieke sector. Specifiek voor het verwerken van persoonsgegevens door de overheid adviseren de onderzoekers de rechtsbescherming voor burgers tegen de verwerking van persoonsgegevens te vereenvoudigen. Dit kan door een brug te slaag tussen de (U)AVG en de Awb. Ook het gat dat nu bestaat tussen de AVG en de Awb bij geautomatiseerde besluitvorming zou gedicht kunnen worden. De toezichthouder, de Autoriteit Persoonsgegevens, zou de werkwijze rondom de bestuurlijke boete meer transparant kunnen vormgegeven en bij de meldplicht datalekken het toezicht op niet-melders kunnen intensiveren.

Achtergrond

Sinds 25 mei 2018 geldt de Algemene Verordening Persoonsgegevens (AVG). Deze Europese verordening regelt de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens. De Uitvoeringswet Algemene verordening persoonsgegevens (UAVG) vult de ruimte in die Nederland als lidstaat heeft om op bepaalde punten meer specifieke nationale regelingen te treffen.

Open normen

In het evaluatieonderzoek is gekeken naar de uitvoering van de UAVG en is de werking van de wet geëvalueerd. Hierbij hebben de onderzoekers veel hulp gekregen van experts uit het veld, van Functionarissen Gegevensbescherming (FG’s), staatsraden en advocaten tot aan academische experts.

De AVG gaat uit van open normen. Deze normen zijn voor een belangrijk deel een voortzetting van regelgeving die er voor de AVG ook al was. Een verdere concretisering en specifieke invulling in de UAVG heeft niet plaatsgevonden. Ook heeft per branche via zogenaamde gedragscodes amper een operationalisering van normen plaatsgevonden, nu de gedragscode als instrument nauwelijks van de grond komt. De onderzoekers formuleren dan ook verschillende aanbevelingen die gelet op het samenstel van AVG, UAVG, bijzondere wetgeving en sectorale gedragscodes handvatten kunnen zijn voor de praktijk van het gegevensbeschermingsrecht.

Besluitvorming en rechtsbescherming

Bij de rechtsbescherming tegen het handelen van de overheid heeft het besluit een sleutelrol. Dit wringt met de systematiek van de (U)AVG waarin de verwerking van persoonsgegevens en daarmee de verwerkingsactiviteit – een feitelijke handeling – een meer centrale rol inneemt. De onderzoekers raden aan om een brug te slaan tussen de (U)AVG en de Awb, zowel op het vlak van geautomatiseerde besluitvorming als op het vlak van rechtsbescherming. Ook pleiten de onderzoekers ervoor om de toegang tot de civiele rechter laagdrempeliger te maken door de toegang tot de verzoekschriftprocedure in de UAVG te verruimen.

Kinderen

Speciale aandacht is nodig voor de huidige zwakke positie van kinderen en hun persoonsgegevens. Juist van de jonge generatie worden ongekend veel persoonsgegevens vastgelegd en verspreid, soms ook door ouders. Zij zouden beter beschermd moeten worden.

Toezichts- en handhavingsbeleid nodig

Behalve naar de werking van de UAVG is ook gekeken naar het functioneren van de boetebevoegdheid van de AP. Het onderzoek plaatst kanttekeningen bij de wijze waarop de toezichthouder deze bevoegdheden hanteert. Zo hebben de onderzoekers niet kunnen vaststellen hoe het toezicht er in de praktijk uit ziet. Er is geen gepubliceerd toezichts- en handhavingsbeleid, zoals dat bij veel andere toezichthouders het geval is. Ook hebben de onderzoekers, na bestudering van cases waarin een bestuurlijke boete is opgelegd, niet goed duidelijk kunnen krijgen hoe de AP de hoogte van de boetes vaststelt. Zij verwachten dat een meer transparante werkwijze voor het vaststellen en opleggen van boetes kan zorgen voor meer begrip en grotere acceptatie door de ondertoezichtstaanden.

Geef niet gemelde datalekken meer aandacht

Het onderzoek naar uitvoerbaarheid van de UAVG stelde ook de meldplicht datalekken aan de orde. Opvallende bevinding is dat de toezichthouder relatief veel handhavingscapaciteit steekt in gemelde datalekken. Ook wanneer de ondertoezichtstaande maatregelen heeft genomen en het probleem heeft opgelost, leidt dat soms tot stevige sancties. De vraag is of in het toezicht het evenwicht tussen gemelde en niet-gemelde datalekken niet op een andere manier zou kunnen worden gevonden.

Uitbreiding bij Hooghiemstra & Partners!

Hooghiemstra & Partners is erg blij met de komst van drie nieuwe collega’s Lukan, Lieve en Anna.

Vandaag zijn bij ons gestart Lieve Smeets, Lukan van Pinxteren en Anna Keuning. Lieve studeerde af in de master straf- en privaatrecht Nederlands recht aan de Universiteit van Maastricht. Lukan is afgestudeerd in Informatierecht aan de Vrije Universiteit Amsterdam. Anna heeft een master in Arubaans recht, Internationaal en Europees recht en rechtswetenschappelijk onderzoek. Voor haar scriptie aan de Erasmus Universiteit won zij de SGOA Hans Frankenscriptieprijs.

Wij kijken uit naar hun visie en aanpak op het gebied van data en recht!

De LegitiMaat voorgesteld aan de Nationale ombudsman

We hadden de eer en het plezier om De LegitiMaat voor te stellen en te bespreken met Reinier van Zutphen (Nationale ombudsman) en zijn collega’s. De geautomatiseerde overheid is erg lastig te doorgronden. Het is niet altijd bekend dat ook in geautomatiseerde processen behoorlijk moet worden gehandeld. Met De LegitiMaat kan de overheid verantwoording afleggen over de geautomatiseerde uitvoering van wetten. Daarmee wordt het onzichtbare zichtbaar. Het team van experts dat De LegitiMaat heeft ontwikkeld, staat dan ook trots op de foto!

Meer weten over De LegitiMaat? Schrijf je dan nu in voor een gratis online webinar op 30 september bij RADIO.

De LegitiMaat staat op https://minbzk.github.io/LegitiMaat/.

Het onderzoeksteam: Maike Klip, Robert van Doesburg, Carlijn Oldeman, Marlies van Eck, Mariette Lokin en Abram Klop. Niet op de foto: Steven Gort.

De LegitiMaat is ontwikkeld onder leiding van Marlies van Eck in opdracht van het Ministerie van BZK en met experts van binnen en buiten de overheid. Een van de experts, Mariette Lokin, werkt inmiddels ook bij Hooghiemstra & Partners.